Aktuelle Bedrohungslage

Größe: px

Ab Seite anzeigen:

Download "Aktuelle Bedrohungslage"

Karl Schmitt
vor 8 Jahren
Abrufe

1 Aktuelle Bedrohungslage Seite 1

2 Seite 2

3 Waltenhofen Neuss Wiesbaden Waltenhofen Neuss Wiesbaden Security Webinar Der Weg zu Ihrem ganzheitlichen Security-Konzept in 6 Schritten Die nachfolgende Ausarbeitung ist geistiges Eigentum der SCALTEL AG. Eine Weitergabe der vorgeschlagenen Konzepte und Ideen an Dritte ist vergütungspflichtig.

nachfolgende Ausarbeitung ist geistiges Eigentum der SCALTEL AG.

4 Der Weg zum ganzheitlichen Security-Konzept Agenda 1. Analyse-Workshop (Risikoanalyse) 2. Aufbau einer Informationssicherheitsstruktur 3. Ausarbeitung Informationssicherheitshandbuch 4. Umsetzung der Maßnahmen 5. Sensibilisierung der Mitarbeiter 6. Betrieb des Sicherheitskonzepts Seite 4

5 Warum ISO Was steckt dahinter und wieso bringt es Sie weiter. Weitere Schlagworte: BSI Grundschutz IDW PS 330 IT Sicherheitsgesetz Seite 5

6 IT Sicherheitsgesetz - KRITIS Große Panik oder die Chance für den deutschen Mittelstand? Fragen die wir Ihnen beantworten möchten: Wer könnte betroffen sein? Was könnte das Gesetzt für mich bedeuten? Ab wann gilt das Gesetz? Seite 6

7 IT Sicherheitsgesetz - KRITIS Große Panik oder die Chance für den deutschen Mittelstand? Unsere aktuelle Handlungsempfehlung setzen Sie sich mit Ihrem Verband in Verbindung (Klinikverband, Wasserkraftverband, Bundesnetzagentur (IT Sicherheitskatalog Regularien sind definiert)) und erfragen Sie, ob es bereits Regularien gibt, an denen Sie sich orientieren können. Seite 7

(Klinikverband, Wasserkraftverband, Bundesnetzagentur (IT Sicherheitskatalog Regularien sind

1. Analyse Workshop (Risikoanalyse) Serviceorientierte IT und die entsprechenden Mehrwerte Business Schicht / Prozess Ebene Auszug aus den Einflussfaktoren:

8 1. Analyse Workshop (Risikoanalyse) Serviceorientierte IT und die entsprechenden Mehrwerte Business Schicht / Prozess Ebene Auszug aus den Einflussfaktoren: Unternehmensstrategie (Geschäftsleitung - Zieldefinition) Services Organisationsebene für Security vorhanden? Technische Ebene Risikomanagement vorhanden? Seite 8

Einflussfaktoren: Unternehmensstrategie (Geschäftsleitung - Zieldefinition)

Infrastruktur Service Prozess 1. Analyse Workshop (Risikoanalyse) Serviceorientierte IT und die entsprechenden Mehrwerte Online Bestellung Bsp.

9 Infrastruktur Service Prozess 1. Analyse Workshop (Risikoanalyse) Serviceorientierte IT und die entsprechenden Mehrwerte Online Bestellung Bsp. Anforderung Verfügbarkeit: 24x7 Auszug aus den Einflussfaktoren: Unternehmensstrategie (Geschäftsleitung - Zieldefinition) Intranet Service X Service n Organisationsebene für Security vorhanden? RZ-Infrastruktur Storage Archivierung Datenbanken Service Desk - Support Applikation Intranet Risikomanagement vorhanden? Applikation Server Backup Monitoring Standard Software Security Seite 9

Anforderung Verfügbarkeit: 24x7 Auszug aus den Einflussfaktoren: Unternehmensstrategie (Geschäftsleitung - Zieldefinition) E-Mail

10 1. Analyse Workshop (Risikoanalyse) Analyse der (Security) Systeme Ziel: Aufdecken von Optimierungspotential über Ihre gesamte IT-System- Security unter Berücksichtigung der ISO Seite 10

11 1. Analyse Workshop (Risikoanalyse) Analyse der (Security) Systeme - Beispiel Seite 11

12 1. Analyse Workshop (Risikoanalyse) Penetrations Test / Schwachstellenscan Seite 12

13 1. Analyse Workshop (Risikoanalyse) Mitarbeiter Awareness Faktor Mensch Seite 13

14 2. Aufbau einer Informationssicherheits-Organisation Beispiel Organigramm Vorstand Personalabteilung CISO Datenschutzbeauftragter Arbeitssicherheitsbeauftragter Betriebsrat Security Team (Treiber ISO / Security) Seite 14

Datenschutzbeauftragter Arbeitssicherheitsbeauftragter

15 2. Aufbau einer Informationssicherheits-Organisation ISMS - Informationssicherheitsmanagementsystem Was ist denn dieses ISMS und wo kann ich es erwerben? Abgrenzung: ISMS ist kein Tool ISMS ist kein Produkt ISMS ist nie von der Stange Seite 15

16 2. Aufbau einer Informationssicherheits-Organisation ISMS - Informationssicherheitsmanagementsystem Was ist denn dieses ISMS und wo kann ich es erwerben? Definition: ISMS ist ein Prozess ISMS ist ein Ablageort für sämtliche Audit- und Security- Inhalte ISMS ist risikobasiert und individuell Seite 16

17 3. Informationssicherheitshandbuch Das zentrale Sicherheitsdokument Inhalte: Ziele (Unternehmensstrategie, Sicherheitsziele) Geltungsbereich (Abgrenzung Bsp. Zentrale / Standorte / RZ) Handbuch als Fundament Verweis auf weitere Dokumente Seite 17

Sicherheitsziele) Geltungsbereich (Abgrenzung Bsp.

18 4. Umsetzung der Maßnahmen Das Risiko minimieren technisches Beispiel A Verfügbarkeit von informationsverarbeitenden Einrichtungen Maßnahme: Informationsverarbeitende Einrichtungen müssen mit ausreichender Redundanz für die Einhaltung der Verfügbarkeitsanforderungen implementiert werden. Seite 18

Informationsverarbeitende Einrichtungen müssen mit ausreichender Redundanz

19 4. Umsetzung der Maßnahmen Das Risiko minimieren technisches Beispiel A Verfügbarkeit von informationsverarbeitenden Einrichtungen Maßnahme: Informationsverarbeitende Einrichtungen müssen mit ausreichender Redundanz für die Einhaltung der Verfügbarkeitsanforderungen implementiert werden. Redundante Konzepte der SCALTEL AG Planung, Umsetzung, Dokumentation und Tests Durchgängig für alle erforderlichen Technologien Netzwerk, Datacenter, Security, Mobility, Ablage im ISMS Seite 19

ausreichender Redundanz für die Einhaltung der Verfügbarkeitsanforderungen implementiert werden.

20 4. Umsetzung der Maßnahmen Das Risiko minimieren technisches Beispiel A Maßnahmen zum Schutz vor bösartiger Software Maßnahme: Es sind Erkennungs-, Präventions- und Wiederherstellungsmaßnahmen zum Schutz vor bösartiger Software in Verbindung mit einer angemessenen Sensibilisierung der Benutzer zu implementieren. Seite 20

Präventions- und Wiederherstellungsmaßnahmen zum Schutz vor bösartiger Software in

21 4. Umsetzung der Maßnahmen Das Risiko minimieren technisches Beispiel A Maßnahmen zum Schutz vor bösartiger Software Maßnahme: Es sind Erkennungs-, Präventions- und Wiederherstellungsmaßnahmen zum Schutz vor bösartiger Software in Verbindung mit einer angemessenen Sensibilisierung der Benutzer zu implementieren. Individueller gesamtheitlicher Security Ansatz der SCALTEL AG Planung, Umsetzung, Dokumentation und Tests Durchgängig für alle erforderlichen Technologien Backup und Storage Konzepte NGFW Firewall mit IPS/IDS sowie Viren und Malwarescanner Endpoint Security und Web Security Port Security Ablage im ISMS Seite 21

22 4. Umsetzung der Maßnahmen Organisatorisches Beispiel: Richtlinien Clear Desk-Richtlinie Kennwort-Richtlinie Informationssicherheits- Richtlinie Social Media-Richtlinie IT-Richtlinie Datenschutz-Richtlinie Bsp. Betriebsvereinbarung Internetnutzung Seite 22

23 5. Mitarbeitersensibilisierung Vorstellung E-SEC 3D Security Seite 23

24 5. Mitarbeitersensibilisierung Vorstellung E-SEC 3D Security Planung Security Kampagnen Worauf kommt es an? Seite 24

25 6. Fortlaufender Betrieb Security als Prozess nicht nur eine Maßnahme Beispiele: Regelmäßiger Sicherheits-Checkup (1x pro Jahr) Security Analyse / Penetration Test Auslagerung von Zuständigkeit in Form von Managed Service Bsp.: Managed Firewall Service durch SCALTEL AG Bsp.: Monitoring / Bereitschaft Zertifizierter Unterstützungsprozesse Bsp.: Updateprozess durch Service Leitstelle Auditplan (interne Audits) (2x pro Jahr) Seite 25

26 Der Weg zum ganzheitlichen Security-Konzept Wie wir Sie unterstützen Begleitung bei der Einführung und Umsetzung eines ganzheitlichen Sicherheitskonzepts Praktikabler und praxisorientierter Ansatz Perfekte Basis für ISO Zertifizierung Seite 26

Ähnliche Dokumente

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit